Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Aynı ağda 2 yada daha fazla segment kullanma..

    Scheduled Pinned Locked Moved Turkish
    19 Posts 5 Posters 12.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hoscakal
      last edited by

      şöyle bir düşüncem var…

      yeni bir yere taşınıyoruz 6 katlı bina vs vs..

      yönetilebilir hp procurve 2525 switch alacağız.. ve her kat için vlan oluşturmayı düşünüyorum her vlan farklı segmentte olacak

      mesela

      vlan 1 muhasebe 172.0.0.0
      vlan 2 satinalma  172.0.1.0
      vlan 3 ...

      ayrıca 6 katta da wireless şeklinde internet olacak
      hangi kattaysa o vlan a üye olacak

      şirket çalışanları için ayrı ssid gözükecek
      misafirler ayrı ssid den girecek..

      ama aynı internet i kullanacaklar ve segmentleri birbirlerinden farklı olacak

      bu niye yapılır.. ağda bi problem olduğunda çözümü kolaylaşır... tespit kolay yapılır ve sadece o vlandaki bilgisayarlar etkilenir...

      tabi işin şu kısmı var pfsense de kullanacağız. dhcp üzerinden mac adreslerine ip leri sabitleyeceğim ancak pfsense iki ya da daha fazla segmentte nasil ip dağıtacak..
      bu işi switch üstlenirse log kaydı sıkıntı olacak

      aklıma gelen ilk çözüm yöntemi şu

      misafir'e ait kata 1 tane wireless routing koyarım o routing kişiyi ağa alır farklı bir segmentte ve internet e girmeye çalıştığında captive portal gelir kullanıcı adı şifreyi girer ve internet e çıkar...

      ama routing e ip dağıttırırsam iç ip log tutmada sıkıntı yaşarım..

      bu yapılandırma ile ilgili önerilerinizi bekliyorum kolay gelsin iyi çalışmalar

      1 Reply Last reply Reply Quote 0
      • tuzsuzdeliT
        tuzsuzdeli
        last edited by

        zaten her oluşturduğunuz vlan için pfsense üzerinde bir interface'iniz olacak
        bu durumda her vlan'a istediğinizi gibi otomatik ya da manuel ip dağıtabileceksiniz
        misafirlerin olduğu interface için de captive portal'ı aktif edeceksiniz.

        bu noktada sıkıntı çıkacak bir yer yok gibi geliyor bana :)

        Çözümün bir parçası değilsen, sorunun bir parçasısındır.

        1 Reply Last reply Reply Quote 0
        • H
          hoscakal
          last edited by

          dediğini tam olarak anlayamadım kusura bakma anlamadığım kısımları yazayım biraz daha açıklayıcı yazabilirsen sevinirim

          pfsense üzerinde

          vlan oluşturmaya çalıştığımda benden interface seçmemi istiyor..
          bende lan interface ini seçiyorum tag numarası herhangi bir numara veriyorum açıklamasına misafir yazıp kaydediyorum. (şu an yönetilebilir switch yok elimde..)
          dhcp server a geldiğimde landan başka bir seçenek gözükmüyor… dhcp server'ı açtığımda lan vlan1 vlan2 vlan3 diye çıkması lazım diye düşünüyorum :S

          ve her vlan için hangi ip yi dağıtacağımı elle girerek ayarlamalıyım

          client'ı nasıl tanıyacak hangi vlan a ait olduğunu? pfsense neye göre hangi ip yi verecek ayrıca dhcp de lan haricinde gözüken bir yer yok vlan oluşturmama rağmen...

          1 Reply Last reply Reply Quote 0
          • H
            hoscakal
            last edited by

            kusura bakma :D

            vlan ı eklemişim ama interface olarak eklememişim dhcp server kısmında vlanlar gözüktü ancak

            yazdığım gibi

            yeni pc yi ağa soktuğumda hangi segmentten ip alacağını nerden bilecek bunun için illaki yönetilebilir switch mi lazım ?

            1 Reply Last reply Reply Quote 0
            • Z
              zack
              last edited by

              Merhabalar,

              Vlan kullanacaksanız Layer2 yönetilebilir switch sahibi olmanız gerekir. Yönetilemez bir switch te vlan oluşturup kullanamazsınız. Ayrıca Switch üzerinde oluşturduğunuz vlanid ler ile pfsense de oluşturacağınız vlanid ler aynı olmak zorunda.Örneğin;
              24 port L2 yönetilebilir switchiniz var. Kullanmaz istediğiniz 3 vlan var. 1-8 kadar olan portları vlan10  olarak 8-16 arası vlan20 16-20 arasını vlan 30 olarak ayarladınız. Pfsensin bağlı olduğu switch portunu trunk port olarak bağlamalısınız ki pfsense bütün vlanları tanıyabilsin. Pfsense te de interface kısmından vlan ları interface olarak tanımlamanız gerekiyor. Zaten DHCP tabında da ekli olan bütün interfaceler için ip dağıtımını sağlayabiliyorsunuz.

              1 Reply Last reply Reply Quote 0
              • H
                hoscakal
                last edited by

                evet bu açıklama gayet net bir şekilde yapmak istediğimi nasıl yapacağımı açıkladı teşekkürler

                asıl yapı şu

                6 katlı bina düşünün her katta 16-24 lük normal switch ve wireless yayın sağlayacak wireless yayını yapacak Access point olacak dhcp kapalı sadece ağa dahil edecek ve kendi katındaki switch e bağlı olacak..

                en alt katta yönetilebilir switch olacak her kattaki switchten yönetilebilir switch e 1 kablo çekilecek…

                çektikten sonra 1 nolu port vlan1 deyip 1 kattaki switch e bağlanan client lar aynı zamanda vlan a dahil olurlar mı ? mantıken olmaları lazım..

                pfsense ile yönetilebilir switch arasındaki bağlantıyı trunk yaptığımda dediğiniz gibi tüm vlanları görecektir..

                pfsense de vlan kurarken idler dediğiniz gibi aynı olmak kaydıyla trunk yaptığım Ethernet kartı üzerinden 6 kat için interface oluşturmam yeterli olacaktır

                peki tüm bu vlanlar başka hiç bir rule oluşturmadan internet e çıkabilecekler mi ?
                birbirlerine erişim zaten olmayacak başka ne ayar yapmak gerekebilir

                1 Reply Last reply Reply Quote 0
                • tuzsuzdeliT
                  tuzsuzdeli
                  last edited by

                  Aynen son mesajınızda yazdığınız gibi yapacaksınız

                  Velakin, her bir interface için hangi yönde nelere izin veriyor-vermiyor iseniz kural yazmanız gerekir.

                  Çözümün bir parçası değilsen, sorunun bir parçasısındır.

                  1 Reply Last reply Reply Quote 0
                  • H
                    hoscakal
                    last edited by

                    tek sorun kaldı aklımda…

                    bi tane serverımız var sadece muhasebe birimi kullanıyor ve dışardan da uzak masaüstü olarak erişim var...
                    nat kısmında sorun olmaz o server ı da sadece muhasebeye ait vlan a tanımlayacam sorun kalmayacak dışardan da natla erişim sağlarım...

                    ama birde tüm şirket çalışanlarının ulaşması gereken nas server ımız var

                    bunun da yönetilebilir switch takıp portunu trunk mı yapmam lazım ?

                    ayrıca dışarıdan vpn le de giriş olacak ve bu nas taki belgelere ulaşması gerekecek...

                    pfsense nin portunu trunk yaptığımızda tüm vlanlardan pfsense ye ulaşım olacak demektir..

                    ayrıca doğal olarak benimde tüm vlanlara erişmem gerekecek... sadece trunk yapmak yeterli mi yoksa başka yöntem var mı

                    ayrıca l2 layer larda vlanlar arası routing yok ihtiyaç olması durumunda vlanlar arası nasıl erişim sağlanır ?

                    1 Reply Last reply Reply Quote 0
                    • tuzsuzdeliT
                      tuzsuzdeli
                      last edited by

                      ben olsam nas'ıda ayrı bir vlan'a koyarım.
                      Vlanlar arası erişimi de firewall kuralları ile düzenlerim.
                      Kullanıcıların olduğu tüm Vlanların, nas'ın olduğu vlan'a erişimini açarım. (tüm portları da açabilirsiniz sadece lazım olanları da)

                      Aynı şekilde vpn ile dışarıdan geldiğinizde de, o da firewall ekranında yeni bir tab açacak. Vpn ile gelenlerin izinleri için de ona kural yazacaksınız. (nas'a erişsin, diğer vlanlara erişmesin gibi)

                      Aslında tüm sorularınızın cevabı aynı. Firewall rules.

                      Bütün trafiğin pfsense üzerinden geçeceği bir durum yaratıyorsunuz.
                      pfsense'in switche bağlandığı kart ve kablonun kalitesine çok önem verin ki orada bir darboğaz olmasın.

                      Normalde vlan ile yapılandırmayıp, tüm cihazları tek networkte yapsa idiniz, kullanıcıların birbiri olan iletişimi switch içerisinde olacaktı. Switchlerin de genelde anahtarlama kapasitesi port sayısı çarpı hız kadar oluyor.

                      Ancak tüm trafiği pfsense üzerine alacağınız için, bu tek portun hızı sizin darboğazınız olabilir.

                      Örnek veriyorum : iki kullanıcı birbirine 3gb veri transfer ediyorken, bütün networkunuz bundan biraz etkilenecek. Ancak vlanlı yapı olmasaydı, bu trafik sadece bu iki kullanıcı arasında ve switch içerisinden geçecekti. Başka iki kullanıcınız birbirleri ile transferde bundan etkilenmeyecekti.

                      Bir de iöyle bir riskiniz var.

                      Pfsense makinesine birşey olursa ne yapacaksınız ? Acil durumda sistemi mutlaka başka bir donanımla yedeklemiş olmanız gerekli ki iş kaybı yaşamayın.

                      Neyse uzatmayayım benim aklıma gelenler bunlar,

                      Çözümün bir parçası değilsen, sorunun bir parçasısındır.

                      1 Reply Last reply Reply Quote 0
                      • H
                        hoscakal
                        last edited by

                        evet dediğiniz gibi tüm sistem pfsense üzerine kuruluyor tüm giriş çıkışlar onun üzerinden gerçekleşecek aslında

                        bu kadar uğraşmaya gerek yok dediğiniz gibi hepsini vlanlara bölmeden

                        switchler aracılığı ile bağlar pfsense de ip dağıt der geçerim

                        şu an zaten öyle bir yapı kullanıyorum 2 switch var 16 lık  iki switch arası bi kablo atılı

                        pfsense de bu switchlerden birine bağlı ip yi dağıtıyor dışardan giriş çıkışlar bunun üzerinden yürüyor..

                        ama bu çalışmada misafir kişi de benimle aynı ağda geziniyor..

                        tek bir şey için bana lazım vlan oda misafir hattı için benimle aynı segmentte bulunmaması lazım kendi başına farklı bi segmentten internete çıksın gitsin.. yabancı birinin bilgisayarı ağıma dahil olmasın

                        2 farklı segment çalıştırmak içinde yönetilebilir switch lazım iş buralara gelince ben de dedim her katı böleyim vlanlara yoksa aklımda böyle bir niyet yoktu…

                        senin bu konuda önerin ne olur ? ne tavsiye edersin.. ya da sen nasıl bir yol izlerdin..

                        dhcp log unu tutmak ta var işin içinde

                        1 Reply Last reply Reply Quote 0
                        • tuzsuzdeliT
                          tuzsuzdeli
                          last edited by

                          pfsense makineye 1 ethernet kart daha takabiliyor musun ?

                          Eğer öyle ise, o karta bir tane wireless access point bağlar, onu da misafirlere ayırırsın. Böylece senin local ağına herhangi bir erişimleri olmaz.

                          Birden fazla AP bağlayacaksan da, bahsettiğim ethernet kartını yeni bir switche takar, tüm AP leri de bu switchin diğer portlarına bağlayıverirsin.

                          Çözümün bir parçası değilsen, sorunun bir parçasısındır.

                          1 Reply Last reply Reply Quote 0
                          • H
                            hoscakal
                            last edited by

                            komplex yapılarla uğraşmak güzel oluyor aslında :)
                            daha fazla şeye öğrenmeye itiyor sizi bilişim sektöründeki en önemli şeydir merak edip uğraşma

                            vlan'lar normalde çok büyük ve çok switch li ağlarda daha çok kullanılır benim yapımda da 6-7 tane ye varan switch olacak ama
                            kullanıcı sayısı maksimum 30 ve iphone  SIII ve ipad ler havada uçuşuyor tabi :)) tabi altyapıyı en az %50 artacak şekilde hazırlıyorum.

                            3 ethernetli bi pfsense makinesi var

                            biri wan
                            biri lan
                            biri wireless olabilir

                            pfsense'den benim ağıma dahil olmayan switch'e kablo çekeceğim ve switch'den de misafir katlarında bulunan Access'lere çekeceğim captive portalı aktif edeceğim

                            3. Ethernet'i de farklı bir lan gibi kullanacağım yani anladığım bu dediğinden tavsiyelerin için teşekkürler

                            bakalım bu sistemde 5651 için pfsense uyarlanmış yöntemle loglama da sorun çıkacak mı..

                            ayrıca bu yapıda squid kullanmak istersem ki isteyeceğim nelere dikkat etmem gerek ?

                            senin şu an kullandığın yapı nasıl anlatabilir misin ne kadar karmaşık ya da stabil ?

                            1 Reply Last reply Reply Quote 0
                            • tuzsuzdeliT
                              tuzsuzdeli
                              last edited by

                              squid için özel birşey yapmana gerek olmayacaktır.
                              zaten squid kendi kendine çalışıyor :) çok müdahele edilecek bir yeri yok gibi geliyor bana.

                              ben vlan'lı bir yapı kullanmıyorum.
                              -1 tane kablolu lan var
                              -3 tane adsl var
                              -1 tane wireless ethernet kart var. misafirler için
                              -1 tane de acces point bağlı ethernet üzerinde ayrı bir lan var, bunu da şirket mobilleri kullanıyor
                              -1 ipsec üzerinde bir şube var

                              tüm bunların birbirleri ile olan erişimleri tamamen firewall kuralları ile düzenli.

                              Örneğin, şirket içi mobil cihazlar web ve içerdeki exchange dışında hiçbirşeye erişemiyorlar.
                              Misafirler tamamen izole.
                              ipsec üzerindeki şube için karşılıklı tüm trafik serbest
                              Lan tarafından internete sadece exchange sunucusu mail atabiliyor clientlar atamıyor
                              vesaire gibi

                              Çözümün bir parçası değilsen, sorunun bir parçasısındır.

                              1 Reply Last reply Reply Quote 0
                              • H
                                hoscakal
                                last edited by

                                @tuzsuzdeli:

                                ben vlan'lı bir yapı kullanmıyorum.
                                -1 tane kablolu lan var
                                -3 tane adsl var
                                -1 tane wireless ethernet kart var. misafirler için
                                -1 tane de acces point bağlı ethernet üzerinde ayrı bir lan var, bunu da şirket mobilleri kullanıyor
                                -1 ipsec üzerinde bir şube var

                                senin yazdıklarına istinaden bende şöyle ufak bir kaç değişiklik yapmayı düşünüyorum

                                cisco'nun network similasyonu ile başarılı şekilde vlanları oluşturup her vlan a farklı segmentte ip dağıttım.

                                ama dediğim bu kadar çok vlan lı sisteme ihtiyacımız var mı ? açıkçası yok…

                                son olarak kafamda şekillenen şu

                                yeni yerimizde 2 tane en yüksek hızda olabilecek adsl varsa fiber ama yok sanırım..

                                iki hattı failover yapacam ip sec yapmıyoruz genelde kullanıcı bazlı ihtiyacı olan kullanıcıyı openvpn ile dahil ediyorum ağa çok ihtiyacımız yok yani vpn

                                2 hattı da bridge bağlayacağım

                                1 lan olacak bu lan içinde Access pointler olacak şifre ile ağa dahil olacaklar ama mac adresi tanımlı değilse dhcp ip dağıtmayacak

                                son Ethernet i de misafirler için ayıracağım pfsense den switch e çıkış yapacağım o switch e de Accessleri bağlayacağım yine captive portal aktif olacak bu hatta

                                şimdilik böyle planım inş sıkıntı çıkmadan atlatırım :)

                                sağol tekrar görüşlerini paylaştığın için

                                1 Reply Last reply Reply Quote 0
                                • tuzsuzdeliT
                                  tuzsuzdeli
                                  last edited by

                                  Rica ederim.
                                  Sonuçları lütfen paylaşın burada

                                  Çözümün bir parçası değilsen, sorunun bir parçasısındır.

                                  1 Reply Last reply Reply Quote 0
                                  • M
                                    masterweb
                                    last edited by

                                    merhaba şöyle bir sistem kurdum.

                                    bir desktop a 2 ethernet kartı taktım vexp kurdum ve üzerine vmware kurarak pfsense kurdum ethernetlerin birini wan birinida lan olarak ayarladım.

                                    modemden gelen kabloyu wan bacagına taktım, lan bacagındakini ise procurve swiche taktım, swichde taktıgım port için bir vlan oluşturdum ve farklı grupta ip verdim.

                                    wi-fi baglantıları için de hp ap de vlan oluşturdum ve swichde oluşturdugum aynı ip blogunu verdim.

                                    fakat çalışmıyor.

                                    konu üzerindeki bilgileri okudum sanırım swich üzerinde ayırdıgım portu trunk yapmam gerekiyor aynı zamanda pfsense üzerindede interface vlanı oluşturmayılım.

                                    bu işlemleri yaptıktan sonra eklemem gereken bir şey olucakmıdır ?

                                    1 Reply Last reply Reply Quote 0
                                    • H
                                      hoscakal
                                      last edited by

                                      @masterweb:

                                      merhaba şöyle bir sistem kurdum.

                                      bir desktop a 2 ethernet kartı taktım vexp kurdum ve üzerine vmware kurarak pfsense kurdum ethernetlerin birini wan birinida lan olarak ayarladım.

                                      modemden gelen kabloyu wan bacagına taktım, lan bacagındakini ise procurve swiche taktım, swichde taktıgım port için bir vlan oluşturdum ve farklı grupta ip verdim.

                                      wi-fi baglantıları için de hp ap de vlan oluşturdum ve swichde oluşturdugum aynı ip blogunu verdim.

                                      fakat çalışmıyor.

                                      konu üzerindeki bilgileri okudum sanırım swich üzerinde ayırdıgım portu trunk yapmam gerekiyor aynı zamanda pfsense üzerindede interface vlanı oluşturmayılım.

                                      bu işlemleri yaptıktan sonra eklemem gereken bir şey olucakmıdır ?

                                      öncelikle madem desktop pc niz var niye xp üzerine vmware kurdunuz ? direk pfsense'i niye kurmadınız ?

                                      dhcp görevini hp ap'leriniz görecekse pfsense üzerinde bir işlem yapmanıza gerek yok ama pfsense'nin lan bacağını switch üzerinde trunk yapmanız lazım ki tüm ap'leri ve arkasındaki bilgisayarları görebilsin.

                                      ap ler üzerinde yapmanız gereken
                                      lan bloğunu switch üzerinde nasıl ayarladıysanız o şekilde değiştirmek ve dhcp'sini açmak yeterli olacaktır

                                      switch in 1 nolu portu pfsense'nin lan bacağı diyelim bu port trunk olacak 192.168.1.1 pfsense ip'si
                                      switch'in 2 nolu portu vlan20 192.168.2.1
                                      switch'in 3 nolu portu vlan30 192.168.3.1

                                      (bu yazdığım ip switch'in o porttaki kendi ip'sidir. ona erişmek için kullanacağınız ip yani //  ap'in ipsi 192.168.2.2 olarak ayarlanmalı ve 192.168.2.3'den başlayarak dhcp dağıtımına başlaması gerek)

                                      1 Reply Last reply Reply Quote 0
                                      • T
                                        tekno
                                        last edited by

                                        @ hoscakal  access point lerde WPA enterprise ile radius ayarlayip pfsense uzerinde radius sunucu yapilandirarak misafir/personel agi sekillendirilebilir sanirim. radius sunucuda kullaniciya gore ip tanimlama gibi bir secenek var.
                                        acikcasi bu yapiyi kurmak icin bayagi kastim ama basarili olamadim :)

                                        1 Reply Last reply Reply Quote 0
                                        • H
                                          hoscakal
                                          last edited by

                                          kullanım yerine göre değişir.

                                          benim şirket içindeki yapım şu şekilde

                                          4 kartlı pfsense mevcut
                                          1 TTnet ADSL
                                          1 Uydu net
                                          1 LAN
                                          1 Misafir LAN

                                          Drytek Vigor AP800 Accesslerim var bunlardan iki kablo çıkıyor biri kat switch'ine diğeri şirket ağına dahil olmayan bir switch'e gidiyor. Yönetilebilir switch varsa buna gerek yok IEEE 802.1q ile halledilir ama dhcp'yi loglama zorunluluğumuz olduğu için böyle bir yol izledim.

                                          Switch'de direk pfsense'nin Misafir LAN bacağına bağlı

                                          Freeradius ve Captive Portal ikilisini kullanıyorum misafir hattı için

                                          Şirket çalışanlarının hattında ise

                                          DHCP ile MAC bind yapılı olup bilinmeyen mac adreslerine ip dağıtılmamakta ama akıllı kullanıcılar ip bloğunu biliyorsa elle ip verip İnternet'e çıkmaya çalışıyorlar bunu da şöyle engelledim
                                          HP 2520 L2 Switch ile Port korumasını aktif ettim bu ne demek

                                          switch'in bir nolu portuna a kullanıcısının MAC adresini yazdım bu port'a başka bir mac adresli cihaz takıldığında switch seni ağa dahil etmiyor.
                                          kullanılmayan portları da switch üzerinden kapatarak baya bir güvenlik sağlamış oldum.

                                          Uydu net ve TTnet internetleri failover şeklinde yapılandırılmış durumda yani biri giderse diğeri devreye girecek şekilde ayarladım

                                          misafir hattaki amacım x kişi ağa bağlanıp benim server yazıcı ve çalışan bilgisayarlarına erişim sağlamaması internetine çıksın yeter.

                                          dediğin yöntemle bunu ayarlamak pek mümkün gelmedi bana misafir ve çalışan ayrı ip blokları kullanmakta freeradius ayarladın ip bloklarını farklı verdiğini varsayıyorum gateway olarak ne yazacaksın baya detay var o dediğin yapıda

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.